portal を使用してアクティブ/アクティブな VPN ゲートウェイを構成する

  • [アーティクル]

この記事では、Resource Manager デプロイ モデルと Azure portal を使用して、高可用性のアクティブ/アクティブ VPN ゲートウェイを作成する方法について説明します。 PowerShell を使用してアクティブ/アクティブなゲートウェイを構成することもできます。

クロスプレミスと VNet 間接続で高可用性を実現するには、複数の VPN ゲートウェイをデプロイし、ネットワークと Azure 間に複数の並列接続を確立する必要があります。 接続オプションとトロポジの概要については、「高可用性のクロスプレミス接続および VNet 間接続」をご覧ください。

重要

アクティブ/アクティブ モードは、Basic または Standard 以外のすべての SKU で使用できます。 詳細については、構成設定に関するページを参照してください。

この記事の手順では、VPN ゲートウェイをアクティブ/アクティブ モードで構成します。 アクティブ/アクティブおよびアクティブ/スタンバイ モードには、いくつかの違いがあります。 その他のプロパティは、非アクティブ/アクティブのゲートウェイと同じです。

  • アクティブ/アクティブ ゲートウェイには、2 つのゲートウェイ IP 構成と 2 つのパブリック IP アドレスがあります。
  • アクティブ/アクティブ ゲートウェイでは、アクティブ/アクティブ設定が有効になっています。
  • 仮想ネットワーク ゲートウェイの SKU では Basic または Standard は使用できません。

既に VPN ゲートウェイを使用している場合は、既存の VPN ゲートウェイをアクティブ/スタンバイ モードからアクティブ/アクティブ モードに、またはアクティブ/アクティブからアクティブ/スタンバイ モードに更新できます。

VNet を作成する

使用したい VNet がまだない場合は、次の値を使用して VNet を作成します。

  • [リソース グループ]: TestRG1
  • [名前]: VNet1
  • [リージョン]: (米国) 米国東部
  • IPv4 アドレス空間: 10.1.0.0/16
  • サブネット名: FrontEnd
  • サブネット アドレス空間: 10.1.0.0/24

  1. Azure portal にサインインします。

  2. [リソース、サービス、ドキュメントの検索 (G+/)] に「virtual network」と入力します。 Marketplace 結果から [仮想ネットワーク] を選択し、[仮想ネットワーク] ページを開きます。

    Azure portal 検索バーの結果が表示され、Marketplace から Virtual Network を選択していることを示すスクリーンショット。

  3. [仮想ネットワーク] ページで、[作成] を選択します。 [仮想ネットワークの作成] ページが開きます。

  4. [基本] タブで、[プロジェクトの詳細] および [インスタンスの詳細] に、VNet 設定を構成します。 入力した値が検証された場合は、緑色のチェック マークが表示されます。 この例に示されている値は、必要な設定に従って調整できます。

    [基本] タブを示すスクリーンショット。

    • サブスクリプション:一覧表示されているサブスクリプションが正しいことを確認します。 ドロップダウンを使用して、サブスクリプションを変更できます。
    • リソース グループ: 既存のリソース グループを選択するか、[新規作成] を選択して新しく作成します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。
    • Name:仮想ネットワークの名前を入力します。
    • リージョン: VNet の場所を選択します。 この場所の設定によって、この VNet にデプロイしたリソースの配置先が決まります。

  5. [IP アドレス] を選んで、[IP アドレス] タブに進みます。[IP アドレス] タブで、設定を構成します。

    • IPv4 アドレス空間: 既定では、アドレス空間が自動的に作成されます。 アドレス空間を選択して、独自の値が反映されるように調整できます。 既存のアドレス空間の下にあるボックスを選択し、追加のアドレス空間の値を指定して、アドレス空間を追加することもできます。 たとえば、IPv4 アドレス フィールドを自動的に設定されている既定値から 10.1.0.0/16 に変更できます。
    • + サブネットの追加: 既定のアドレス空間を使用すると、既定のサブネットが自動的に作成されます。 アドレス空間を変更する場合は、サブネットを追加する必要があります。 [+ サブネットの追加] を選択して、 [サブネットの追加] ウィンドウを開きます。 次の設定を構成し、ページの下部にある [追加] を選択して値を追加します。
      • サブネット名: 例: FrontEnd
      • [サブネットのアドレス範囲] : このサブネットのアドレス範囲です。 たとえば、10.1.0.0/24 です。

  6. [セキュリティ] を選んで [セキュリティ] タブに進みます。この演習では、既定値のままにします。

    • BastionHost: 無効
    • DDoS Protection Standard: 無効
    • ファイアウォール: 無効

  7. [確認と作成] を選択して、仮想ネットワークの設定を検証します。

  8. 設定が検証されたら、[作成] を選択して仮想ネットワークを作成します。

アクティブ/アクティブ VPN ゲートウェイを作成する

この手順では、VNet のアクティブ/アクティブな仮想ネットワーク ゲートウェイ (VPN ゲートウェイ) を作成します。 選択したゲートウェイ SKU によっては、ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

次の値を使用して仮想ネットワーク ゲートウェイを作成します。

  • [名前]: VNet1GW
  • [リージョン]: 米国東部
  • ゲートウェイの種類: VPN
  • VPN の種類: ルート ベース
  • SKU: VpnGw2
  • 世代: Generation2
  • 仮想ネットワーク: VNet1
  • ゲートウェイ サブネットのアドレス範囲: 10.1.255.0/27
  • [パブリック IP アドレス] : 新規作成
  • パブリック IP アドレス名: VNet1GWpip

  1. [リソース、サービス、ドキュメントの検索 (G+/)] に「仮想ネットワーク ゲートウェイ」と入力します。 Marketplace の検索結果で [仮想ネットワーク ゲートウェイ] を見つけて選択し、[作成仮想ネットワーク ゲートウェイの作成] ページを開きます。

    検索フィールドのスクリーンショット。

  2. [基本] タブで、 [プロジェクトの詳細][インスタンスの詳細] の各値を入力します。

    インスタンスのフィールドのスクリーンショット。

    • サブスクリプション:使用するサブスクリプションをドロップダウンから選択します。
    • リソース グループ:この設定は、このページで仮想ネットワークを選択すると自動入力されます。
    • Name:ゲートウェイに名前を付けます。 ゲートウェイの名前付けは、ゲートウェイ サブネットの名前付けと同じではありません。 作成するゲートウェイ オブジェクトの名前です。
    • リージョン: このリソースを作成するリージョンを選択します。 ゲートウェイのリージョンは、仮想ネットワークと同じである必要があります。
    • ゲートウェイの種類: [VPN] を選択します。 VPN Gateway では、仮想ネットワーク ゲートウェイの種類として VPN を使用します。
    • VPN の種類:構成に指定されている VPN の種類を選択します。 ほとんどの構成で [VPN の種類] は [ルート ベース] にする必要があります。
    • SKU: 使用するゲートウェイ SKU をドロップダウンから選択します。 ドロップダウン リストに表示される SKU は、選択した VPN の種類によって異なります。 使用する機能をサポートする SKU を選択してください。 たとえば、"VPNGw2AZ" などの "AZ" SKU を選択する場合は、この例で示されているのとは異なる設定の可用性ゾーン SKU を選択しています。 詳細については、「Azure 可用性ゾーンのゾーン冗長仮想ネットワーク ゲートウェイ」を参照してください。 ゲートウェイの SKU の詳細については、「ゲートウェイの SKU」を参照してください。
    • 世代: 使用する世代を選択します。 詳細については、「ゲートウェイの SKU」を参照してください。
    • 仮想ネットワーク:ドロップダウンから、このゲートウェイの追加先の仮想ネットワークを選択します。 ゲートウェイを作成する VNet が表示されない場合は、前の設定で正しいサブスクリプションとリージョンを選択していることを確認します。
    • ゲートウェイ サブネットのアドレス範囲: このフィールドは、VNet にゲートウェイ サブネットがない場合にのみ表示されます。 これは /27 またはそれ以上 (/26、/25 など) を指定することをお勧めします。 これにより、ExpressRoute ゲートウェイの追加など、将来の変更のために十分な IP アドレスが許可されます。 /28 より小さい範囲を作成することはお勧めしません。 既にゲートウェイ サブネットがある場合は、仮想ネットワークから GatewaySubnet の詳細を表示できます。 範囲を表示するには、[サブネット] を選択します。 範囲を変更する場合は、GatewaySubnet を削除して再作成できます。

  1. パブリック IP アドレス の各値を指定します。 これらの設定では、VPN ゲートウェイに関連付けられるパブリック IP アドレス オブジェクトを指定します。 パブリック IP アドレスは、VPN ゲートウェイの作成時に、このオブジェクトに対して動的に割り当てられます。 ゾーン冗長でないゲートウェイの場合、パブリック IP アドレスが変わるのは、ゲートウェイが削除され、再度作成されるときのみです。 VPN ゲートウェイのサイズ変更、リセット、その他の内部メンテナンス/アップグレードでは、IP アドレスは変わりません。

    [パブリック IP アドレス] フィールドのスクリーンショット。

    • パブリック IP アドレス : [新規作成] を選択しておいてください。
    • パブリック IP アドレス名:このテキスト ボックスに、パブリック IP アドレス インスタンスの名前を入力します。
    • 割り当て: VPN ゲートウェイでは動的のみがサポートされます。
    • [アクティブ/アクティブ モードの有効化] : [有効] を選択します。
    • [Second Public IP Address](セカンド パブリック IP アドレス) : [新規作成] を選択します。
    • [パブリック IP アドレス名] : セカンド パブリック IP アドレスの名前です。
    • [Configure BGP](BGP の構成) の設定は、実際の構成で特に必要でない限り、 [無効] のままにしておいてください。 この設定が必要である場合、既定の ASN は 65515 です。ただし、これは変わる場合があります。

  2. [確認と作成] を選択して検証を実行します。

  3. 検証に合格したら、 [作成] を選択して VPN ゲートウェイをデプロイします。

デプロイの状態は、ゲートウェイの [概要] ページで確認できます。 ゲートウェイの作成後は、ポータルの仮想ネットワークを調べることで、ゲートウェイに割り当てられている IP アドレスを確認できます。 ゲートウェイは、接続されたデバイスとして表示されます。

重要

ゲートウェイ サブネットを使用する場合は、ゲートウェイ サブネットにネットワーク セキュリティ グループ (NSG) を関連付けないようにしてください。 このサブネットにネットワーク セキュリティ グループを関連付けると、仮想ネットワーク ゲートウェイ (VPN と Express Route ゲートウェイ) が正常に動作しなくなることがあります。 ネットワーク セキュリティ グループの詳細については、ネットワーク セキュリティ グループの概要に関するページを参照してください。

既存の VPN ゲートウェイを更新する

このセクションでは、既存の Azure VPN ゲートウェイをアクティブ/スタンバイからアクティブ/アクティブ モードに、またアクティブ/アクティブからアクティブ/スタンバイ モードに変更します。 アクティブ/スタンバイ ゲートウェイをアクティブ/アクティブに変更する場合は、別のパブリック IP アドレスを作成して、第 2 のゲートウェイ IP 構成を追加します。

アクティブ/スタンバイからアクティブ/アクティブに変更する

アクティブ/スタンバイ モードのゲートウェイをアクティブ/アクティブ モードに変換するには、次の手順に従います。 Resource Manager デプロイ モデルを使用してゲートウェイを作成した場合は、このページで SKU をアップグレードすることもできます。

  1. 仮想ネットワーク ゲートウェイのページに移動します。

  2. 左側のメニューで [構成] を選択します。

  3. [構成] ページで、次の設定を構成します。

    • [アクティブ/アクティブ モード] を [有効] に変更します。
    • [別のゲートウェイ IP 構成の作成] をクリックします。

    [構成] ページを示すスクリーンショット。

  4. [パブリック IP アドレスの選択] ページで、条件を満たす既存のパブリック IP アドレスを指定するか、 [+新規作成] を選択して、2 番目の VPN ゲートウェイ インスタンスに使用する新しいパブリック IP アドレスを作成します。

  5. [パブリック IP アドレスの作成] ページで、 [Basic] SKU を選択してから [OK] をクリックします。

  6. [構成] ページの上部にある [保存] をクリックします。 この更新が完了するまでに 30 - 45 分程度かかる場合があります。

重要

BGP セッションが実行されている場合は、Azure VPN Gateway BGP 構成が変更され、2 つの新しく割り当てられた BGP IP がゲートウェイ サブネットのアドレス範囲内にプロビジョニングされることに注意してください。 古い Azure VPN Gateway BGP IP アドレスは存在しなくなります。 これにより、ダウンタイムが発生し、オンプレミスのデバイスでの BGP ピアの更新が必要になります。 ゲートウェイのプロビジョニングが完了すると、新しい BGP IP を取得でき、それに応じてオンプレミスのデバイス構成を更新する必要があります。 これは、APIPA 以外の BGP IP に適用されます。 Azure で BGP を構成する方法を理解するには、「Azure VPN Gateway で BGP を構成する方法」を参照してください。

アクティブ/アクティブからアクティブ/スタンバイに変更する

アクティブ/アクティブ モードのゲートウェイをアクティブ/スタンバイ モードに変換するには、次の手順に従います。

  1. 仮想ネットワーク ゲートウェイのページに移動します。

  2. 左側のメニューで [構成] を選択します。

  3. [構成] ページで、[アクティブ/アクティブ モード] を [無効] に変更します。

  4. [構成] ページの上部にある [保存] をクリックします。

重要

BGP セッションが実行されている場合は、Azure VPN Gateway BGP 構成が 2 つの BGP IP アドレスから 1 つの BGP アドレスに変更されることに注意してください。 このプラットフォームでは一般に、ゲートウェイ サブネットの最後の使用可能な IP が割り当てられます。 これにより、ダウンタイムが発生し、オンプレミスのデバイスでの BGP ピアの更新が必要になります。 これは、APIPA 以外の BGP IP に適用されます。 Azure で BGP を構成する方法を理解するには、「Azure VPN Gateway で BGP を構成する方法」を参照してください。

次のステップ

接続を構成する場合は、次の記事を参照してください。